10 2024 档案
摘要:缓冲区溢出漏洞是一种常见的安全漏洞,发生在程序尝试向预分配内存空间填充数据时,超出其预定大小,进而覆盖了不应被修改的数据区域。这种漏洞通常发生在输入验证不足的情况下,攻击者可能会利用它来注入恶意代码、改变程序流程甚至获取系统控制权。例如,在处理用户输入的字符串时,如果开发人员没有正确检查输入长度,就
阅读全文
摘要:注入攻击指的是针对注入漏洞的任何类型的攻击——注入漏洞是一大类网络安全漏洞,其中包括几个严重的应用程序安全风险。尽管攻击向量种类繁多,但注入攻击的共同点是攻击者能够通过未经验证的用户输入将有效负载插入已执行的应用程序代码中。根据具体的漏洞和攻击目标,注入可能涉及数据库查询、JavaScript代码、
阅读全文
摘要:对于企业来说,代码库是其宝贵的资产。然而目前勒索软件即服务 (RaaS)攻击以 CI/CD 管道为目标,劫持或破坏代码已成为一种趋势。首先来看下典型的勒索软件生命周期。 感染:攻击者通常通过恶意依赖项、脚本漏洞或受损的构建服务器渗透到系统中。 横向移动:他们暗中探索网络,寻找关键资源和代码存储库。
阅读全文
摘要:不安全反序列化是一种针对 Web 应用程序和 API 的许多攻击链的一部分的漏洞,。易受攻击的应用程序将在不验证数据的情况下加载数据,从而允许攻击者操纵反序列化过程并执行恶意代码。虽然不安全反序列化并不总是作为独立漏洞报告,但可能会对网络安全造成严重后果,包括远程代码执行 (RCE)、拒绝服务 (D
阅读全文
